Nehmen wir an, Sie publizieren auf Ihrer Website Preislisten im PDF-Format. Und weil die Preise Ihrer Produkte in kurzen Intervallen ändern, stellen Sie immer zum Monatsersten eine neue Preisliste ins Netz. Mit Contao können Sie diese Updates vorbereiten und die Preislisten zum gewünschten Zeitpunkt automatisch austauschen lassen, denn jeder Artikel kann mit einem Veröffentlichungszeitpunkt versehen werden.
So weit, so gut. Wenn Sie nun allerdings die Preislisten ganz normal in die Dateiverwaltung hochladen und aus einem Artikel heraus verlinken, dann ergibt sich ein Link in der folgenden Form:
www.beispiel.ch/preisliste.html?file=tl_files/preislisten/Preisliste_2012-04-01.pdf
Wer Contao ein bisschen kennt, kann auch direkt auf die obige PDF-Datei zugreifen, indem er folgende URL benutzt:
www.beispiel.ch/tl_files/preislisten/Preisliste_2012-04-01.pdf
Das ist an sich noch kein Problem. Zum Problem wird es erst, wenn Sie schon Mitte April die Mai-Preisliste in die Dateiverwaltung hochladen. Auch wenn der Artikel, der die Mai-Preisliste verlinkt, erst am 1.5.2012 online geht, so lässt sich die URL der Preisliste leicht erraten und bereits vorab herunterladen:
www.beispiel.ch/tl_files/preislisten/Preisliste_2012-05-01.pdf
Eine ähnliches Problem besteht dort, wo Download-Dateien von passwortgeschützten Seiten aus verlinkt werden: Die Seiten selbst sind zwar vor unerlaubtem Zugriff geschützt, die Download-Dateien jedoch nicht. Wer also die Direkt-URL errät, kann auch ohne Login auf die Dateien zugreifen.
Sofern es sich nicht um besonders sensible Daten handelt, kann man das Problem einfach entschärfen, indem man Verzeichnis- oder Dateinamen aus zufälligen Zeichenfolgen erstellt. Im obigen Beispiel könnte man beispielsweise für jeden Monat ein neues Unterverzeichnis für die Preisliste anlegen, das im April vielleicht UlkmirgxX0GHzQgqpv6u und im Mai beispielsweise iGWxgHfIMI09JdLVZbDd heisst. Die Direkt-URL auf die Mai-Preisliste wäre dann alles andere als leicht zu erraten:
www.beispiel.ch/tl_files/preislisten/iGWxgHfIMI09JdLVZbDd/Preisliste_2012-05-01.pdf
Wohl verstanden: Das ist kein echter, zuverlässiger Schutz gegen unerlaubte Downloads – aber ein einfaches Mittel, wie ein Content-Manager auch ohne technische Kenntnisse die Direkt-URL seiner Dateien verschleiern kann.
Das Verschleiern ist nicht nötig, da Contao im Backend in der Dateiverwaltung ein Schloss-Symbol anbietet, mit welchem der Ordner, welche die Dateidownloads enthält gesperrt werden kann (.htaccess deny from all).
Zugriffe auf die Datei sind dann nur noch mit dem auf der Seite angebotenen Link möglich, auch eine Manipulierung der URL – Übergabe des GET-Parameters – sollte dann nicht reichen.
Ordner,welche Dateidownloads enthalten, sollten also immer gesperrt werden.